Solidarische Cybersicherheit der EU : Maßnahmen zur Stärkung der Fähigkeiten der Europäischen Union für eine wirksame operative Zusammenarbeit, Solidarität und Resilienz
Die Europäische Kommission hat Mitte April einen Vorschlag für ein EU-Cybersolidaritätsgesetz [1] angenommen, um die Cybersicherheitskapazitäten in der EU zu stärken. Es soll die Erkennung und Sensibilisierung im Bereich der Cybersicherheitsbedrohungen und -vorfälle in der EU, die Abwehrbereitschaft kritischer Einrichtungen, die Solidarität sowie konzertierte Krisenbewältigungs- und Reaktionsfähigkeiten in allen Mitgliedstaaten verbessern.
Mit dem Cybersolidaritätsgesetz werden EU-Kapazitäten geschaffen, um Europa widerstandsfähiger und reaktionsfähiger gegen Cyberbedrohungen zu machen und gleichzeitig den bestehenden Kooperationsmechanismus zu stärken. Das Gesetz wird dazu beitragen, ein sicheres digitales Umfeld für Bürger:innen und Unternehmen zu schaffen und kritische Einrichtungen sowie wesentliche Dienste wie Krankenhäuser und öffentliche Versorgungsunternehmen zu schützen.
Im Rahmen der Europäischen Sicherheitsunion setzt sich die EU dafür ein, dass alle europäischen Bürger:innen und europäischen Unternehmen sowohl online als auch offline gut geschützt werden, und fördert gleichzeitig einen offenen, sicheren und stabilen Cyberraum. Die immer größere Tragweite und Häufigkeit von Cybersicherheitsvorfällen und ihre zunehmenden Auswirkungen stellen jedoch eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen sowie den europäischen Binnenmarkt dar. Die militärische Aggression Russlands gegen die Ukraine hat diese Bedrohung weiter verschärft und geht mit einer Vielzahl staatsnaher, krimineller und hacktivistischer Akteure einher, die an den derzeitigen geopolitischen Spannungen beteiligt sind.
EU-Cybersolidaritätsgesetz
Das EU-Cybersolidaritätsgesetz wird die Solidarität auf Unionsebene stärken, damit schwerwiegende Cybersicherheitsvorfälle und Cybersicherheitsvorfälle großen Ausmaßes besser erkannt und die Vorsorge- und Bewältigungsmaßnahmen verbessert werden können, indem ein europäischer Cyberschutzschild und ein umfassender Cybernotfallmechanismus geschaffen werden.
Zur raschen und effektiven Erkennung großer Cyberbedrohungen schlägt die Kommission die Einrichtung eines europäischen Cyberschutzschilds vor: einer europaweiten Infrastruktur bestehend aus Sicherheitseinsatzzentren (SOCs) in der gesamten EU. Sie werden modernste Technik wie künstliche Intelligenz (KI) und fortgeschrittene Datenanalyse nutzen, um grenzüberschreitende Cyberbedrohungen und -vorfälle rechtzeitig zu erkennen und davor zu warnen. Behörden und einschlägige Einrichtungen werden so in der Lage sein, effizienter und wirksamer auf größere Cybervorfälle zu reagieren.
Diese Zentren könnten schon Anfang 2024 einsatzbereit sein. In der Vorbereitungsphase für den europäischen Cyberschutzschild hat die Kommission im April 2023 im Rahmen des Programms „Digitales Europa“ drei Konsortien für grenzüberschreitende Sicherheitseinsatzzentren (SOCs) ausgewählt, in denen sich öffentliche Einrichtungen aus 17 Mitgliedstaaten und Island zusammengeschlossen haben.
Das EU-Cybersolidaritätsgesetz sieht auch die Schaffung eines Cybernotfallmechanismus vor, um die Abwehrbereitschaft zu steigern und die Reaktionsfähigkeit bei Cybervorfällen in der EU zu verbessern. Unterstützt werden sollen:
- Vorsorgemaßnahmen, einschließlich Tests zur Ermittlung potenzieller Schwachstellen bei Einrichtungen in besonders kritischen Sektoren (Gesundheitsversorgung, Verkehr, Energie usw.), auf der Grundlage gemeinsamer Risikoszenarien und -methoden,
- der Aufbau einer neuen EU-Cybersicherheitsreserve, bestehend aus Sicherheitsvorfall-Notdiensten vertrauenswürdiger Anbieter, die vorab unter Vertrag genommen werden und somit bei einem schwerwiegenden Cybersicherheitsvorfall oder einem Cybersicherheitsvorfall großen Ausmaßes auf Ersuchen eines Mitgliedstaats oder der Organe, Einrichtungen und sonstigen Stellen der Union sofort eingreifen können, sowie
- die finanzielle Förderung der gegenseitigen Amtshilfe, sodass ein Mitgliedstaat einem anderen Mitgliedstaat Unterstützung anbieten kann.
Außerdem wird mit der vorgeschlagenen Verordnung der Überprüfungsmechanismus für Cybersicherheitsvorfälle eingerichtet, um die Abwehrfähigkeit der Union durch eine nachträgliche Überprüfung und Bewertung von schwerwiegenden Cybersicherheitsvorfällen und Cybersicherheitsvorfällen großen Ausmaßes zu stärken, Erkenntnisse daraus zu gewinnen und gegebenenfalls Empfehlungen zur Verbesserung der Cyberabwehr der Union zu formulieren.
Das Gesamtbudget für alle Maßnahmen des EU-Cybersolidaritätsgesetzes beläuft sich auf 1,1 Mrd. €, wovon etwa zwei Drittel von der EU über das Programm „Digitales Europa“ finanziert werden.
EU-Akademie für Cybersicherheitskompetenzen
Überdies hat die Kommission im Rahmen des „Europäischen Jahres der Kompetenzen 2023“ eine Akademie für Cybersicherheitskompetenzen vorgestellt, um ein besser koordiniertes Vorgehen zur Schließung der Fachkräftelücke im Bereich der Cybersicherheit zu erreichen – eine Voraussetzung für die Stärkung der Resilienz Europas. Die Akademie wird verschiedene bestehende Initiativen zur Förderung von Cybersicherheitskompetenzen auf einer Online-Plattform zusammenführen, um sie so besser sichtbar zu machen und die Zahl qualifizierter Cybersicherheitsfachkräfte in der EU zu erhöhen.
Die Akademie wird zunächst auf der Plattform der Kommission für digitale Kompetenzen und Arbeitsplätze online auftreten (https://digital-skills-jobs.europa.eu/). Bürger:innen, die an einer Laufbahn im Bereich der Cybersicherheit interessiert sind, werden dort Informationen zu Ausbildungsangeboten, Schulungen und Zertifizierungen aus der gesamten EU online an einem einzigen Ort finden. Ferner werden Interessenträger und Beteiligte dort ihre Unterstützung für die Verbesserung der Cybersicherheitskompetenzen in der EU bekannt machen können, indem sie beispielsweise spezifische Maßnahmen wie Schulungen und Zertifizierungen im Bereich der Cybersicherheit anbieten.
Die Akademie soll sich zu einem gemeinsamen Raum für Hochschuleinrichtungen, Schulungsanbieter sowie die Branche entwickeln und ihnen bei der Koordinierung von Bildungsprogrammen, Schulungsmaßnahmen und Finanzierungsmöglichkeiten sowie bei der Verfolgung der Entwicklung des Arbeitsmarkts im Bereich der Cybersicherheit helfen.
Zertifizierungssysteme für verwaltete Sicherheitsdienste
Die Kommission hat zeitgleich zum Entwurf des Cybersolidaritätsgesetzes auch eine gezielte Änderung des Rechtsakts zur Cybersicherheit (EU Cybersecurity Act, CSA [2]) vorgeschlagen, um die künftige Annahme europäischer Zertifizierungssysteme (vgl. [3]) für „verwaltete Sicherheitsdienste“ zu ermöglichen. Dabei handelt es sich um hochkritische und sensible Dienstleistungen, die von Anbietern von Cybersicherheitsdiensten erbracht werden (z. B. Reaktion auf Sicherheitsvorfälle, Penetrationstests, Sicherheitsaudits und Beratung), um so Unternehmen und andere Organisationen bei der Verhütung, Erkennung und Bewältigung von Cybervorfällen oder der anschließenden Wiederherstellung zu unterstützen.
Die Zertifizierung ist von größter Bedeutung und kann im Zusammenhang mit der EU-Cybersicherheitsreserve und der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie, vgl. [4]) eine wichtige Rolle spielen und auch die grenzüberschreitende Erbringung solcher Dienste erleichtern.
Ausblick und nächste Schritte
Das Europäische Parlament und der Rat werden den Verordnungsvorschlag für das EU-Cybersolidaritätsgesetz und die gezielte Änderung des Rechtsakts zur Cybersicherheit prüfen. Das Europäische Kompetenzzentrum für Cybersicherheit wird gemeinsam mit den ausgewählten grenzübergreifenden Sicherheitseinsatzzentren die gemeinsame Beschaffung von Werkzeugen und Infrastrukturen organisieren, um Fähigkeiten zur Erkennung von Cyberangriffen aufzubauen.
Die EU-Cybersicherheitsagentur (ENISA) und das Europäische Kompetenzzentrum für Cybersicherheit werden weiter an Cybersicherheitskompetenzen arbeiten und im Einklang mit ihren jeweiligen Mandaten und in enger Zusammenarbeit mit der Kommission und den Mitgliedstaaten an der Verwirklichung der Akademie für Cybersicherheitskompetenzen mitwirken. Die Kommission schlägt vor, dass die Akademie in Form eines Konsortiums für eine europäische Digitalinfrastruktur (EDIC) eingerichtet wird, einen neuen Rechtsrahmen für die Durchführung von Mehrländerprojekten. Diese Möglichkeit wird nun mit den Mitgliedstaaten erörtert.
Außerdem muss sichergestellt werden, dass Fachkräfte die erforderlichen hochwertigen Schulungen absolvieren. Dazu wird die ENISA ein Pilotprojekt entwickeln, in dem die Einrichtung eines europäischen Zertifizierungssystems für Cybersicherheitskompetenzen geprüft wird.
Fazit
Mit dem vorgeschlagenen EU-Cybersolidaritätsgesetz kommt die Kommission der Forderung der Mitgliedstaaten nach, die Cyberresilienz der EU zu stärken, und erfüllt ihre in der jüngsten „Gemeinsamen Mitteilung zur EU-Cyberabwehrpolitik“ gemachte Zusage, eine EU-Initiative für Cybersolidarität auszuarbeiten.
Das EU-Cybersolidaritätsgesetz und die Akademie für Cybersicherheitskompetenzen bauen auf der EU-Cybersicherheitsstrategie und dem EU-Rechtsrahmen auf, um die kollektive Resilienz der EU gegenüber zunehmenden Cybersicherheitsbedrohungen zu stärken. Zu diesem Rechtsrahmen gehören die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) und der Rechtsakt zur Cybersicherheit.
Literatur
[1] European Commission, Proposal for a Regulation of the European Parliament and of the Council laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents, COM(2023) 209 final, April 2023, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2023:209:FIN
[2] European Commission, The EU Cybersecurity Act, Portalseite, April 2023, https://digital-strategy.ec.europa. eu/en/policies/cybersecurity-act
[3] Diana-Victoria Menzel, Patrick Seidel, Zertifizierung für Europa, Die neuen Anforderungen für die europäische
Cyber-Sicherheits-Zertifizierung auf Grundlage des Cyber Security Acts (CSA), 2022# 4, S. 25
[4] Dennis-Kenji Kipker, Dario Scholz, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen? Eine Analyse, 2023# 1, S. 19
[5] Europäische Kommission, Gemeinsame Mitteilung an das Europäische Parlament und den Rat, JOIN(2022) 49 final, November 2022, https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX:52022JC0049
[6] European Commission, The Cybersecurity Strategy, Portalseite, Juni 2022, https://digital-strategy.ec.europa. eu/en/policies/cybersecurity-strategy
[7] European Commission, Cybersecurity Policies, Portalseite, April 2023, https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-policies
Der vorliegende Text ist die redigierte Fassung einer Pressemitteilung der Europäischen Kommission vom 18.April 2023 (https://ec.europa.eu/commission/presscorner/detail/de/ip_23_2243).